Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel BankBot RAT

BankBot RAT

Por Mezo em Malware móvel, Ferramentas de Administração Remota
Traduzir Para:

O BankBot é um poderoso trojan de acesso remoto para Android que, uma vez instalado, pode assumir o controle total de um dispositivo. Ele explora os recursos de acessibilidade do Android para elevar privilégios, automatizar ações da interface do usuário, coletar informações confidenciais e realizar operações não autorizadas que podem levar a fraudes financeiras, roubo de identidade e implantação de malware. Qualquer infecção confirmada requer correção imediata.

Ocultação e criação de perfis de dispositivos

O BankBot evita ativamente a análise e visa apenas ambientes selecionados. Ele realiza verificações em emuladores e sandboxes, inspeciona atributos do dispositivo (marca, modelo, ROM) e ajusta seu comportamento para ser executado em dispositivos reais selecionados, enquanto permanece inativo ou evasivo em ambientes de laboratório. O malware também coleta e registra telemetria do dispositivo — versão e build do Android, marca e modelo, fabricante, IDs de hardware e build e nome do produto — para traçar o perfil dos alvos e ignorar dispositivos não suportados.

Obtendo o controle: abuso de acessibilidade e persistência silenciosa

Uma tática central é o abuso dos serviços de acessibilidade. O BankBot pode abrir as Configurações de Acessibilidade e usar engenharia social para induzir o usuário a habilitar um serviço de acessibilidade malicioso; com essa permissão, ele pode automatizar cliques, inserir texto, habilitar outras permissões e executar ações sem o consentimento do usuário. Ele também pode obter direitos de administrador do dispositivo. Para sobreviver a reinicializações e manter o acesso a longo prazo, o malware agenda uma tarefa recorrente (aproximadamente a cada 30 segundos) que requer conectividade de rede e persiste mesmo após a reinicialização do dispositivo.

Funcionalidades — O que o BankBot pode fazer

O conjunto de funcionalidades do BankBot confere a ele controle quase completo de um telefone infectado. As principais capacidades incluem: silenciar o áudio do sistema para suprimir alertas (toques, notificações, mídia), exibir avisos falsos em tela cheia (por exemplo, "Verificação de Informações Pessoais") para distrair as vítimas enquanto ativa permissões e habilitar silenciosamente serviços e o status de administrador. Ele pode abrir ou fechar aplicativos programaticamente, atualizar telas, simular toques e gestos de deslizar, desbloquear a tela, controlar o encaminhamento de chamadas, enviar mensagens SMS, instalar ou desinstalar APKs, baixar arquivos, tirar fotos e capturas de tela, ocultar janelas e inserir texto em campos de entrada. O malware também pode ler a área de transferência do Android e extrair seu conteúdo — expondo senhas, frases-semente e outros segredos — e captura contatos, SMS, listas de aplicativos instalados, status do dispositivo e geolocalização.

Visando os setores bancário e de criptomoedas — quais aplicativos estão em risco?

O BankBot recebe instruções de um servidor de comando e controle que fornece uma lista de aplicativos financeiros e bancários a serem alvos para roubo de credenciais ou transações fraudulentas. Ele também visa especificamente muitas carteiras de criptomoedas, automatizando as interfaces de usuário dos aplicativos de carteira por meio do recurso de Acessibilidade para ler informações confidenciais, como frases-semente, chaves privadas ou detalhes de transações. Exemplos de carteiras alvos observadas incluem:

  • AUTOS, Bitcoin, BitKeep, Carteira Blockchain, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Carteira de Criptomoedas Ethereum), TokenPocket, Trust Wallet, Valor.

Técnicas de Engano e Mascaramento de Aplicativos

Para reduzir suspeitas, o BankBot pode alterar seu ícone e nome para se passar por serviços legítimos (por exemplo, apresentando-se como o Google Notícias) e, em seguida, abrir conteúdo da web com aparência confiável dentro de uma WebView. Essas alterações cosméticas, combinadas com avisos falsos semelhantes ao reCAPTCHA ou diálogos de verificação em tela cheia, são usadas para enganar os usuários e levá-los a conceder permissões ou interagir com o aplicativo enquanto ações maliciosas são executadas em segundo plano.

Como os usuários normalmente chegam ao BankBot

Em muitos casos, as vítimas instalam o BankBot por conta própria após serem enganadas. As vias comuns de infecção incluem:

  • Instalar APKs de sites controlados por atacantes ou de lojas de terceiros.
  • Aplicativos falsos ou maliciosos distribuídos por meio de repositórios de aplicativos não confiáveis.
  • Instalações ou downloads não autorizados provenientes de anúncios enganosos e pop-ups em sites duvidosos.
  • Links em SMS, aplicativos de mensagens ou e-mails de phishing.

A engenharia social é fundamental para a distribuição: os criminosos criam iscas convincentes para persuadir os usuários a baixar e executar o malware.

Riscos e impacto esperado

Um dispositivo infectado pode sofrer apropriação indevida de contas, transações financeiras não autorizadas, roubo de identidade e perda de privacidade. A combinação de abuso de acessibilidade, persistência silenciosa, criação de perfis de dispositivos e ataques direcionados contra aplicativos bancários e de criptomoedas torna o BankBot particularmente perigoso para usuários com aplicativos financeiros ou carteiras de criptomoedas em seus telefones.

Medidas imediatas de contenção e recuperação

  • Revogar permissões suspeitas: remover permissões de acessibilidade e notificação para aplicativos desconhecidos e revogar os direitos de administrador do dispositivo.
  • Desinstale o(s) aplicativo(s) malicioso(s) e execute uma verificação completa com um produto de segurança móvel confiável.
  • Altere as senhas e ative a autenticação multifator para contas financeiras e quaisquer serviços usados no dispositivo — faça isso a partir de um dispositivo limpo.
  • Contate bancos ou provedores de carteiras digitais se suspeitar de atividade fraudulenta e monitore suas contas em busca de transações não autorizadas.
  • Caso as frases de recuperação ou chaves privadas tenham sido expostas, transfira os fundos para novos endereços de carteira cujas chaves foram geradas em um dispositivo limpo.

    • Prevenção

    Mantenha o sistema operacional e os aplicativos do dispositivo atualizados, evite instalar APKs de fontes não confiáveis, desative a instalação automática de fontes desconhecidas, desconfie de solicitações que peçam para ativar recursos de acessibilidade ou de administração do dispositivo e use um produto de segurança móvel confiável que possa detectar e remover trojans e adware. Eduque usuários e funcionários sobre as táticas de engenharia social que facilitam a instalação de aplicativos de fontes não confiáveis e a concessão de permissões.

    Resumo — Considere o BankBot como de Alto Risco

    O BankBot é um RAT furtivo e repleto de recursos para Android que combina abuso de acessibilidade, verificações de ambiente, tarefas agendadas persistentes, automação de interface do usuário e roubo direcionado de ativos bancários e criptoativos. Devido ao seu potencial para causar sérios danos financeiros e à privacidade, qualquer suspeita de infecção deve ser tratada com urgência: remova o malware, proteja as contas em um dispositivo limpo e tome as medidas preventivas acima para reduzir a exposição futura.

    Tendendo

    Lei de A Lei de Privacidade de Email para Proteger a...

    Segurança do Computador
    Na era da Internet em rápida evolução, a segurança e a privacidade de seus dados são um território incerto. Existem muitas entidades opostas que tentam violar seus dados privados todos os dias se você acessar a Internet. Felizmente, nos EUA, o governo está se esforçando para tornar sua privacidade uma prioridade pela aprovação unânime da lei da Lei de Privacidade por Email para proteger a...

    Mais visto

    Carregando...